,

Mein Kühlschrank, der Betrüger

Auf unserem Fachkongress FRAUDMANAGEMENTforBANKS drehte sich zwei Tage lang wieder alles um die Themen Betrugsprävention und Bekämpfung von Finanzkriminalität.


„It’s a jungle out there“ heißt es in Randy Newman’s gleichnamigem Song, dessen Titel ziemlich genau die aktuelle Lage an organisierter Kriminalität im Finanzsektor beschreibt: Hochprofessionelle, global agierende Gangster und Hacker nutzen sämtliche Schlupflöcher der digitalen Welt zu ihrem zweifelhaften Vorteil aus. Dass Banken und Dienstleister dem jedoch keinesfalls schutzlos ausgeliefert sind, zeigten die Referentinnen und Referenten der diesjährigen Ausgabe des Kongresses FRAUDMANAGEMENTforBANKS und stellten ihre ganz eigenen Ansätze und Lösungen vor.

In seinem Einstiegsvortrag wies Nicolas Kipp, Director Risk Management bei RatePAY, z.B. auf das Potenzial von Machine Learning in der Betrugsbekämpfung hin. Gerade durch Services wie Instant Payments werde es in Zukunft immer schwieriger, einen Betrugsfall angemessen schnell zu verfolgen, denn Waren würden, z.B. beim Online-Shopping, nahezu in Echtzeit bezahlt und meistens noch am selben Tag versandt. Machine Learning sei in der schnelllebigen Payment-Branche zwar immer „Trial and Error“ im Wettlauf mit Betrügern, es ginge aber nicht mehr ohne:

„Das ist ein Feld, bei dem man einfach nicht warten kann.“

Um Schnelligkeit ging es auch Kai Wanka, Head of Fraud Solutions bei CRIF Bürgel. Da die zahlreichen Kommunikationspunkte jedes Users im Internet of Things einen deutlichen Fußabdruck hinterließen, würde es für Betrüger immer einfacher, sich eine plausible Identität zusammenzustellen und damit Sicherheitsschranken zu umgehen. Wichtig seien schon lange nicht mehr Name und Bankkonto eines Kunden, sondern dessen digitale Identität. Er plädierte deshalb für Transparenzlösungen, welche bereits Verhaltensmuster überwachen, sobald der Kunde eine Internetseite aufruft. Risiken bestimmter Geräte könnten so in Zukunft besser kontrolliert werden: „Betrüger versuchen immer, das schwächste Glied einer IoT-Kette auszunutzen. Vielleicht wird unser smarter Kühlschrank der nächste Betrüger sein!“

„It‘s a jungle in here, too / You gonna tap out on your phone / That microphone, that camera / Checking out everything you do“

Wie solche „Behavioral Biometrics“ überschriebenen Lösungen z.B. auf mobilen Geräten wie Smartphones funktionieren, stellte Andreas Czermak, Vice President Fraud Management bei Arvato Financial Solutions, vor. Indem Wischbewegungen auf dem Bildschirm gespeichert und zu einem eindeutig identifizierbaren Verhaltensmuster des Eigentümers zusammengefasst werden, könnten „Good User“ schon im Vorfeld zahlreicher Prozesse erkannt, zusätzliche Sicherheitsabfragen minimiert und die User Experience verbessert werden.

Für Thomas Sontag von der ING-DiBa ist KI jedoch keinesfalls ein Allheilmittel. Der AML-Manager stellte eine Form des Betrugs vor, die nicht auf abstrakt digitaler Ebene stattfindet, sondern ganz konkrete emotionale Grundbedürfnisse des Menschen anspricht: den sogenannten „Love-Scam“, bei dem Betrüger meistens per E-Mail eine fingierte Romanze mit ihren Opfern beginnen, deren Vertrauen gewinnen und schließlich hohe Geldsummen von diesen einfordern. Hier seien rein datenbasierte, technische Lösungen nur bedingt sinnvoll. Es zähle besonders die menschliche Komponente: „Manchmal müssen rechtlich einwandfreie Transaktionen zum Wohl des Kunden gestoppt werden.“ Diese seien meist jedoch verblendet und nicht kooperativ: „Einem Betrogenen klarzumachen, dass er betrogen wurde, ist ein Kunststück“, so Sontag weiter. Auch bei der Aufklärung interner Fälle wie Gleitzeitbetrug hilft Technik nicht immer weiter. So setzt Petra Schreiber von der Wüstenrot Bank vor allem auf interne Schulungen unter realen Bedingungen, um die Mitarbeiter-Awareness für das Thema stets hoch zu halten. Dr. Markus Lang, Datenschutzbeauftragter der apoBank, wies jedoch drauf hin, dass gerade bei Präventivmaßnahmen im Sinne des Datenschutzes Vorsicht geboten sei. Eine Untersuchung von Mitarbeitern funktioniere unproblematisch nur, wenn bereits ein Schadensfall vorliege. Andernfalls verstoße man gegen den Grundsatz der Erforderlichkeit: „Man muss sich die Frage stellen: Überwiegt das Interesse des Unternehmens, Betrug aufzuklären, oder das Interesse aller Betroffenen, deren Daten zu schützen?“

Sicher durch den Dschungel

Dass bei der Bestrafung von Betrugsfällen hierzulande mit zweierlei Maß gemessen wird, kritisierte derweil Hauptkommissar Erik Manke. Am Beispiel Uli Hoeneß wies er mit viel Witz auf Missstände innerhalb des Polizeiapparats und der Rechtsprechung hin: „Die Straffreiheit bei Selbstanzeige ist eine einzige Katastrophe“, erklärte er, und fuße auf einem Gesetz von reichen Leuten für reiche Leute.

Versöhnlichere Worte fand man dagegen beim anschließenden Workshop. An themenspezifischen Tischen versammelten sich die Teilnehmerinnen und Teilnehmer, um aktuelle Fragestellungen aus der Fraud-Landschaft zu diskutieren und gemeinsam in angeregten Gesprächen Antworten zu erarbeiten. Die Vorstellung der Ergebnisse sorgte für einen gelungenen Abschluss des zweitägigen Fachkongresses und setzte zahlreiche neue Wegpunkte auf der Landkarte für eine sichere Reise durch den Fraud-Dschungel. Ob alle gut angekommen sind, erfahren wir dann im kommenden Jahr.